No6.Azure ADの認証基盤からの移行(Directory Sync利用なし)

Azure AD Connectなどを利用せずにAzure AD(Microsoft 365)上で直接アカウントを管理している状態から、IIJ IDサービスに認証基盤を移行します。

【参考】

ここに記載された内容は参考です。

実際の作業は、お客様の環境に合わせて実施してください。

連携のイメージ

IIJ IDからAzure ADにユーザをプロビジョニングし、プロビジョニングされたユーザとのフェデレーションを行います。


Azure AD上には既存のAzure ADユーザが存在するため、既存のAzure ADユーザとの連携も考慮します。
既存のAzure ADユーザについては、IIJ IDユーザのIDをAzure ADのuserPrincipalNameに揃えます。
なお、Azure ADにて外部の認証基盤とのフェデレーションを有効にしていない場合、Azure ADユーザにimmutableIdに値は設定されていません。
そのためIIJ IDからのプロビジョニングによってIIJ IDのUUIDに上書きされます。

セットアップフロー例
1. 事前準備備考



1.1 Microsoft 365でのドメインの登録
1.2 Windows PowerShellのセットアップ
1.3 Microsoft 365アプリケーションの追加
1.4 既存のAzure ADユーザに設定されているユーザ属性値をIIJ IDユーザに反映ユーザ数が多い場合、Azure ADユーザの属性をCSVファイルにエクスポートし、IIJ IDのユーザCSVインポートで一括で反映させることを推奨します
2. 連携設定








2.1 アプリケーションの基本設定の変更
2.2 Graph APIの設定
2.3 プロビジョニングの設定
2.4 利用者の設定


2.5 フェデレーションの設定 

ユーザのプロビジョニングが完了していることを必ず確認してください

プロビジョニング処理によってIIJ IDからAzure ADの各ユーザに対してimmutableIdの値が設定されます。ユーザのプロビジョニング処理が完了していない状態でフェデレーション設定を有効にした場合、immutabeldの値が設定されていないユーザはMicrosoft 365にログインできなくなります